1
2
ETHICAL HACKING – THE BASICS17 Septembre 2014
3
“If you know yourself but not the enemy, for every victory gained you will also suffer a defeat.”
Sun Tzu, The Art of War
4
Introduction
5
Hacking vs. Ethical Hacking• Hacking : Exploiter les
faiblesses/fragilités d’un système informatique pour accéder à des données/ressources non autorisées.
• Hacker = The Enemy.
6
Hacking vs. Ethical Hacking• Ethical Hacking : Utilisation des outils
et des techniques de Hacking afin d’identifer les faiblesses au niveau d’un système informatique.
• Ethical Hacker = Simule les attaques du Hacker.
7
Quelques chiffres
8
Quelques chiffres
262,813Complaints Reported
to the IC3 in 2013
9
Quelques chiffres
$781,840,611
Total Loss Reportedto the IC3 in 2013
10
Quelques chiffres
11
Terminologie• Exploit
Le moyen utilisé pour casser la sécurité d’un système informatique.Logiciels malicieux, commandes, profiter des vulnérabilités matérielles et logicielles.
12
Terminologie• Vulnérabilité
Défaut de conception ou d’implémentation qui pourra permettre d’accéder aux ressources non autorisées (Bypass).
13
Terminologie• Cible d’évaluation
Système informatique, produit, composant sujet à une évaluation de sécurité.
14
Terminologie• Attaques Zero-day
Attaques qui exploitent les failles Zero-day.
• Failles Zero-dayDes vulnérabilités détectées dans les applications avant que le développeur ne réalise un patch ou un correctif.
15
Terminologie• Daisy Chaining
Après avoir pris le contrôle d’un système, le hacker efface ses traces et l’utilise pour attaquer d’autres systèmes.
16
Eléments de la sécurité
Confidentialité
Disponibilité Intégrité
17
Eléments de la sécurité• Confidentialité
C’est l’assurance que l’information n’est accessible qu’aux personnes ayant l’accès.
18
Eléments de la sécurité• Intégrité
C’est la fiabilité des données ou des ressources en termes de prévention des changements non autorisés.
19
Eléments de la sécurité• Disponibilité
C’est l’assurance que le système soit accessible pour les utilisateurs autorisés.
20
Eléments de la sécurité
Confidentialité
Disponibilité Intégrité
21
Eléments de la sécurité
Confidentialité
Disponibilité Intégrité
Non répudiation
Authenticité
22
Eléments de la sécurité• Authenticité
La qualité de communication, des documents ou des données doit être authentique et non corrompue.
23
Eléments de la sécurité• Non répudiation
C’est l’assurance que les parties d’un contrat ne peuvent pas nier l’authenticité de leurs signatures.
24
Menaces et vecteurs d’attaque
25
Vecteurs d’attaques
Système d’information
Complexité de l’infrastructure
Coopération avec les gouvernements
Applications réseaux
Cyber Crime Logiciels non patchés Malwares ciblés
Réseaux sociaux
Menaces internes
Botnets
Manque d’experts en sécurité
Virtualisation
Hacktivism
Sécurité Mobile
Politiques de sécurité
26
Menaces de sécuritéMenaces Naturelles Menaces Physiques
InondationsTremblements de terreCatastrophes naturelles ..
Pertes ou dommages des ressourcesIntrusions physiquesSabotage et espionnage
HackersSocial EngineeringManque de conscience
Menaces Humaines
27
Menaces de sécuritéMenaces Humaines
Réseau Hôte Application
Information GatheringSniffingSpoofingSession HijackingMan-in-the-MiddleSQL InjectionARP PoisoningDenial of Service
Malware AttacksTarget FootprintingPassword AttacksDenial of ServiceArbitrary Code ExecutionPrivilege EscalationBack-door AttacksPhysical Security Threats
Data/Input ValidationAuthentification AttacksInformation DisclosureSession ManagementBuffer OverflowCryptography AttacksError HandlingAuditing and Logging
28
Classes des Hackers
29
Classes des Hackers
Black Hats White Hats Gray Hats Cyber Terrorists
30
Classes des Hackers
Script Kiddies Spy Hackers Suicide Hackers
State Sponsored
31
Phases du Hacking
32
Phases du Hacking• Reconnaissance• Scan• Prise d’accès• Maintien d’accès• Backtracking
33
Phases du Hacking• Reconnaissance
Etape de récolte d’informations.Passive : Sans interaction avec la cible (informations publiques).Active : Interagit avec la cible (ports, services, architecture…)
34
Phases du Hacking• Scan
Extension de la reconnaissance active.Utiliser des outils pour déterminer les ports ouverts, le mapping système, l’infrastructure de sécurité…Scan de vulnérabilités.
35
Phases du Hacking• Prise d’accès
Accéder au système cible en exploitant les vulnérabilités trouvées.
36
Phases du Hacking• Maintien d’accès
Utilisation d’un Backdoor ou d’un Cheval de Troie (Trojan).
37
Phases du Hacking• Backtracking
Suppression de toutes les évidences de la présence du hacker dans le système ainsi que ses activités.
38
Conclusion
39
L’Ethical Hacking est-il nécessaire ?
L'évolution débridée de la technologie entraine une croissance des risques qui y sont associées.L’Ethical Hacking tend à prévoir ces vulnérabilités et anticiper les attaques.
40
L’Ethical Hacking est-il nécessaire ?
• Ethical Hacking : puisque le piratage comprend de l'intelligence et la créativité, les tests de vulnérabilité et d'audits ne peuvent pas assurer la sécurité du réseau.
41
L’Ethical Hacking est-il nécessaire ?
• Stratégie de Défense en Profondeur : Afin d'y parvenir, les organisations doivent implémenter une stratégie de défense en profondeur en pénétrant leur réseau pour estimer les vulnérabilités et les exposer.
42
Défense en profondeur
43
Top Related